Комп’ютерно-технічна експертиза – це дослідження технічних властивостей цифрового обладнання (комп’ютерів, накопичувачів інформації, мобільних телефонів тощо) та програмного забезпечення з метою отримання фактичних даних, що відносяться до обставин скоєного злочину або предмету цивільного позову. Експертиза дозволяє виявити істотні ознаки злочину (інциденту) і створити цілісну доказову базу шляхом дослідження інформації.
Завданнями, що вирішуються в рамках проведення комп’ютерно-технічної експертизи є:
- встановлення виду (типу, марки), властивостей апаратного засобу, а також його технічних і функціональних характеристик;
- встановлення фактичного стану і справності апаратного засобу;
- виявлення і дослідження функціональних властивостей, а також налаштувань програмного забезпечення, часу його інсталяції;
- установлення відповідності програмних продуктів певним параметрам;
- виявлення потрібної інформації, встановлення її властивостей та виду відображення в комп’ютерній системі;
- відновлення видаленої та зашифрованої інформації на різного виду носіях;
- виявлення ознак діяльності шкідливого програмного забезпечення;
- виявлення слідів активності в мережі Інтернет, змісту електронного листування, історії обміну повідомленнями у програмах для спілкування та інше.
Об’єктами комп’ютерно-технічної експертизи є як апаратні засоби (системні блоки комп’ютерів та їх комплектуючі, сервери, ноутбуки, жорсткі диски, флеш-накопичувачі, модеми, маршрутизатори та ін.), так і програмні продукти (комп’ютерні програми, бази даних тощо).
Рекомендації:
Для дослідження інформації, що міститься на комп’ютерних носіях, експертові надається сам комп’ютерний носій, а також комп’ютерний комплекс, до складу якого входить досліджуваний носій. У деяких випадках можна обмежитися наданням тільки комп’ютерного носія, або файла-образу (dd, E01, AD), знятого з електронного носія з дотриманням криміналістичних процедур та фіксацією контрольної суми.
Щоб визначити, які саме об’єкти слід надавати експертові в кожному конкретному випадку, доцільно отримати консультацію експерта (спеціаліста) в галузі комп’ютерної техніки.
Перелік вирішуваних завдань не є вичерпним, про можливість вирішення окремих запитань рекомендується попередньо проконсультуватися з експертом (спеціалістом) у галузі комп’ютерної експертизи.
При формулюванні питань рекомендується дотримуватися розумних рамок експертного завдання, уникати зайвих питань та ставити якомога конкретніші питання з урахуванням особливостей конкретної події/провадження.
Кожне питання збільшує обсяг експертного завдання та, відповідно, збільшує строк виконання експертизи.
- Дослідження мобільних телефонів
- Дослідження комп’ютерної техніки та програмних продуктів
- Дослідження відеореєстраторів (стаціонарні/автомобільні) та накопичувачів з них
- Дослідження ознак втручання у систему та ознак діяльності шкідливого програмного забезпечення
- Дослідження програмних продуктів та їх відповідності технічному завданню
У документі про призначення судової експертизи обов'язково має бути наданий письмовий дозвіл ініціатора на часткову або повну зміну властивостей досліджуваного об’єкта:
«В процесі дослідження дозволяю використання методів, що можуть призвести до часткової або повної зміни властивостей досліджуваного об'єкта»
У документі про призначення судової експертизи обов'язково мають бути зазначені відомості про відомі паролі до об’єкта (за наявності),
а у разі їх відсутності – про цей факт також необхідно відображати в документі:
«Орган досудового розслідування не володіє відомостями щодо паролів від систем логічного захисту наданого на дослідження об’єкта»
або «Повідомляю, що паролі доступу для розблокування наданого на дослідження об’єкта та його програмного забезпечення у ініціатора відсутні».
Орієнтовний перелік вирішуваних питань:
- Чи перебуває наданий на дослідження об’єкт у працездатному стані?
- Чи можливо подолати систему логічного захисту наданого на дослідження об'єкта? (якщо пароль від пристрою ініціатору невідомий).
Варіанти питань на вилучення листування у месенджерах:
(на все листування):
- Чи мається у пам’яті наданого на дослідження мобільного телефону листування користувача у програмах обміну повідомленнями (застосунках) «Viber», «Skype», «Telegram», «WhatsApp» та ін.? Якщо так, прошу скопіювати виявлену інформацію на електронний носій.
або (листування у зазначених застосунках за визначений період часу):
- Чи мається у пам’яті наданого на дослідження мобільного телефону встановлений застосунок(ки) "НАЗВИ"? Чи мається у зазначеному застосунку історія листування користувача за період часу з "ДД.ММ.РРРР" по "ДД.ММ.РРРР"? Якщо так, то прошу скопіювати виявлене листування на електронний носій.
або (з конкретним абонентом(-ами)):
- Чи мається у пам’яті наданого на дослідження мобільного телефону листування користувача у застосунках обміну повідомленнями з абонентом(-ми) "ІМ’Я/номер +ХХХХХХХХХХ/UID"? Якщо так, прошу скопіювати виявлену інформацію на електронний носій.
або (конкретний чат):
- Чи мається у пам’яті наданого на дослідження мобільного телефону листування користувача у застосунку "НАЗВА" у чаті з назвою «НАЗВА ЧАТУ»"? Якщо так, прошу скопіювати виявлену інформацію на електронний носій.
- Чи маються у пам’яті до наданого на дослідження мобільного телефону та карті пам'яті (якщо наявна) серед явних та видалених даних (ОБРАТИ ТІЛЬКИ ТЕ, ЩО ПОТРІБНО): текстові документи, таблиці, графічні файли (цифрові фотографії користувача), відеофайли, аудіофайли створені програмою диктофону? Якщо так, то прошу скопіювати виявлені файли на електронний носій.
- Чи маються у пам’яті до наданого на дослідження мобільного телефону відомості про дії користувача (зазначити які) у застоснуку "НАЗВА" за період часу з "ДД.ММ.РРРР" по "ДД.ММ.РРРР"?
Ставлячи перед судовим експертом питання на пошук та вилучення значного обсягу даних (особливо якщо це аудіо та відеофайли) слід враховувати той факт, що експерту необхідно буде за усної вимоги або за клопотанням надати накопичувач інформації визначеного ним об’єму для виготовлення додатків до висновку.
Фіксація листування користувача у месенджерах шляхом виготовлення знімків екрану пристрою шляхом фотографування дисплею фотоапаратом або з використанням функції «знімок екрану» судовим експертом не проводиться, оскільки ця процедура не потребує спеціальних знань (ст. 1 ЗУ "Про судову експертизу").
Орієнтовний перелік вирішуваних питань:
- Чи перебуває наданий на дослідження об’єкт у працездатному стані?
- Чи міститься на носіях інформації наданого на дослідження об’єкта серед наявних та видалених даних інформація у вигляді файлів текстових документів, таблиць що містять ключові слова: «…», «…», «…»? Якщо так, то які атрибути (дата та час створення, редагування, друку, видалення тощо) та метадані мають ці файли?
- Чи містить накопичувач інформації досліджуваного комп’ютера програмне забезпечення (зазначити яке саме, назву)? Якщо так, то яка його версія, дата установки?
- Чи містить носій досліджуваного об’єкта інформацію про (певні, зазначити конкретно, які саме) дії користувача?
- Які мережеві налаштування має операційна система наданого на дослідження комп’ютера?
- Чи містяться на носії відомості щодо мережевої активності користувача (історія відвідування сайтів мережі Інтернет, історія завантаження файлів, або історія роботи окремого програмного продукту - вказати якого), якщо так, то які саме?
- Чи міститься на носієві інформація про відвідування Інтернет-сайту http://... (вказати конкретну адресу Інтернет-сайту)?
- Чи містяться на наданому на дослідження носії відомості про листування користувачів засобами електронного зв’язку (електронної пошти, текстове листування у програмах обміну повідомленнями)?
- Чи відбувалося підключення зовнішніх носіїв інформації до наданого на дослідження комп’ютера? Якщо так, то яких і коли саме?
Ставлячи перед судовим експертом питання на пошук та вилучення значного обсягу даних (особливо якщо це аудіо та відеофайли) слід враховувати той факт, що експерту необхідно буде за усної вимоги або за клопотанням надати накопичувач інформації визначеного ним об’єму для виготовлення додатків до висновку.
Орієнтовний перелік вирішуваних питань:
- Чи маються на носії наданого на дослідження відеореєстратора відеозаписи у явному або видаленому вигляді за період часу з ___.___._____ по ___.___._____ (час та дата)? Якщо так, прошу скопіювати її на електронний носій.*
*При зазначенні інтервалу часу рекомендується не перевищувати 3–4 годин, оскільки копія тривалого інтервалу часу (особливо с декількох камер) буде мати дуже великий розмір, що спричинить складнощі у пошуку носія для копіювання.
- Чи має журнал подій наданого на дослідження відереєстратора записи щодо події "..." (зазначити час та якої події – стирання інформації, аварійне виключення, вимкнення, відключення окремих камер тощо)?**
**Для відповіді на запитання необхідний дозвіл ініціатора на часткову зміну властивостей досліджуваного об’єкта.
Орієнтовний перелік вирішуваних питань:
- Чи маються на наданому на дослідження об’єкті за період часу з __.__.____ по __.__.____, сліди віддаленого втручання до операційної системи та програмного забезпечення?
- Чи маються на наданому на дослідження об’єкті за період часу з __.__.____ по __.__.____, сліди впливу програмного продукту що ідентифікується антивірусним програмним забезпеченням як шкідливий?
- Чи міститься на наданих на дослідження об’єктах у явному чи прихованому вигляді програмне забезпечення, призначене для віддаленого керування комп’ютером («RMS», «TeamViewer», «Ammyy Admin», «Radmin», «UltraVNC» та інше)? Якщо так, то чи містяться на наданих на дослідження об’єктах файли журналів історії використання виявлених програм?
- Чи наявні на наданих на дослідження об’єктах програми (клієнти) для дистанційного банківського обслуговування (ДБО) типу «Клієнт-банк», «Інтернет-банкінг»? Якщо так, то чи містять вони файли журналів історії використання вказаних програм?
Орієнтовний перелік вирішуваних питань:
- Чи можливо виконання певних дій за допомогою даного програмного продукту?
- Чи можливе вирішення певного завдання за допомогою даного програмного продукту?*
*Для встановлення відповідності програмних продуктів певним параметрам експертові надається носій з копією досліджуваного програмного продукту і еталонна (дистрибутивна) копія програмного продукту.
- Чи реалізовані у даному програмному продукті (програмному коді) функції, передбачені технічним завданням на його розробку?**
**Надається програмний продукт у повній комплектації та технічне завдання.
Замовити експертизу/дослідження:
Дослідження комп'ютерної техніки та програмних продуктів; тел. +380981550276
|
Код послуги |
Найменування послуги |
Експертогодина, грн. (без ПДВ) | ПДВ | Всього з ПДВ |
| 1500134 | Проведення судової експертизи в цивільних, господарських, адміністративних справах, у виконавчому провадженні: експертиза комп’ютерно-технічні | 445,70 | 89,14 | 534,84 |
| 1500171 | Проведення судової експертизи в кримінальному провадженні на замовлення підозрюваного, обвинуваченого, засудженого, виправданого, їх захисників, законного представника, потерпілого, його представника і законного представника (за клопотанням): експертиза комп’ютерно-технічні | 445,70 | 89,14 | 534,84 |
| 1500205 | Проведення експертних досліджень, оцінки майна, майнових прав і професійної оціночної діяльності на замовлення фізичних або юридичних осіб: дослідження комп’ютерно-технічні | 445,70 | 89,14 | 534,84 |
